Kontaktlar topshirish Golovna

MikroTik-ni qanday sozlashni o'rganishingiz mumkin

onlayn kurslar

bu virobnikning egaligidan. Kurs muallifi - sertifikatlangan MikroTik treneri. Batafsil ma'lumot uchun maqolani o'qishingiz mumkin.

Maqolada kompaniyalar uchun ICMP trafigini bloklash qanchalik qiyinligi ko'rsatilgan.

ICMP - olma atirgul

Bagato
chegara ma'murlari

Shuni ta'kidlash kerakki, Internet-nazorat xabari protokoli (ICMP) xavfsizlikka tahdid soladi va blokirovka qilinadi barcha ICMP trafik!

ICMP trafigi juda ko'p muhim funktsiyalarga ega;

Ulardan ba'zilari muammolarni bartaraf etish uchun foydalidir, boshqalari esa to'g'ri ishlash uchun zarurdir.

Quyida siz bilgan ICMP protokolidagi muhim qadamlar haqida ma'lumot mavjud.
Keyin ularni to'siqdan qanday qilib eng yaxshi tarzda o'tkazish haqida o'ylang.

ICMP protokolining ushbu komponentlari, shuningdek, TCP protokolining ko'rinmas qismi bo'lgan Path MTU Discovery (PMTUD) ning muhim komponenti kabi muhim ahamiyatga ega.

Ikki xostga TCP maksimal segment hajmi (MSS) qiymatini ikkita yoʻnalish orasidagi eng kichik MTU yoʻliga mos qiymatga moslashtirishga ruxsat beradi.

Agar paketlar kichikroq Maksimal uzatish birligi bo'lgan marshrutdan o'tayotgan bo'lsa, na menejer, na egasi va ular bu ziddiyatni aniqlash qobiliyatiga ega bo'lmasa, u holda trafik sezilmaydi. Va siz kanal bilan aloqa borligini tushunmaysiz; Boshqacha qilib aytganda, "siz uchun quvnoq kunlar keladi". Fragment qilmang - ICMP o'tmaydi! IPV4-to'plami Iz Bit Donat Fragment (Ularning Bilshi Station!) Abo IPV6-to'plami (Pam'yatami, IPV6 - routerlar tomonidan parchalanish), Yaki Nadto Veliki, izanterpius orqali uzatish va oldindan kelishilganligi. VIS marshrutizatori paket emas va quyidagi ICMP to'xtatuvchilari bilan uzatish yo'nalishiga javob beradi: Kerakli parchalanish ( Parchalanish talab qilinadi) yoki paket juda ajoyib (

Paket ham

katta).

Ushbu xabarlar bilan tasdiqlovlarni jo'natuvchiga qaytarish mumkin emasligi sababli, ACK paketlarini yetkazib berish to'g'risida tasdiqlar mavjudligini tushunish mumkin ( Tasdiqlash) qayta uzatishni qo'llab-quvvatlash / sarflash va paketlarni qayta uzatish uchun qurilma ham tashlanadi. Bunday muammoning sababini aniqlash qiyin va TCP-handshake almashish jarayoni normal ishlamoqda, ishtirok etgan paketlarning ba'zilari kichik, ammo ommaviy ma'lumotlarni uzatish bo'lishi bilanoq, uzatish seansi muzlab qoladi, shuning uchun uzatish jarayoni va o'zgartirishlar to'g'risidagi bildirishnomani bekor qilmaydi. Paketni etkazib berish yo'nalishini kuzatish RFC 4821 trafik ishtirokchilariga barcha paketlarning tarqalishini kuzatish orqali ushbu muammoni chetlab o'tishga yordam berish uchun kengaytirildi., uzatishdan qabul qilishgacha bo'lgan marshrutda hech qanday parchalanishsiz maksimal mumkin bo'lgan paket hajmini bilish.

Ushbu funksionallik aloqalararo xabar almashish protokoli (ICMP) ga murosaga kelgan xabarlarni o'z vaqtida olib tashlash hisobiga vaqt uzunligini o'zgartiradi va ko'pgina qurilmalar va mijoz operatsion tizimlarida mavjud, afsuski, darhol o'chirish kabi samarali emas. Iltimos, ICMP protokoli uzatish qurilmasiga o'tishini bizga xabar bering.

Paketni uzatish soatini o'zgartirish
IPv4 - (11-toifa, Code0)

IPv6 - (3-toifa, Code0) Traceroute - muammolarni bartaraf etish uchun juda foydali vosita chekka ulanishlar

teri yo'lini aniq tasvirlaydigan ikkita xost o'rtasida. IP protokoli uchun paketni hayot vaqtidan boshlab ma'lumotlar paketiga yuboradi(Yashash vaqti (TTL) 1 teng

, shunday qilib, birinchi marshrutizator sizga paketning ishlash muddatidagi o'zgarishlar haqida ma'lumot (shu jumladan IP-manzil) haqida xabar beradi.

Keyin u TTL 2 va boshqalar bilan paketni yuboradi.
Ushbu protsedura sumkalarni o'tkazish yo'lida terining zaifligini aniqlash uchun kerak.
NDP va SLAAC (IPv6)
Router so'rovi (RS) (Type133, Code0)
Router reklamasi (RA) (Type134, Code0)

Qo‘shni so‘rovi (NS) (Type135, Code0)

Qo'shni reklama (NA) (Type136, Code0)

Qayta yo'naltirish (Type137, Code0)

IPv4 OSI chekka modelining 2 va 3 darajalarini o'rnatish uchun manzilni aniqlash protokolidan (ARP) foydalansa, IPv6 boshqa yondashuvdan, qo'shnilarni aniqlash protokolidan (NDP) foydalanadi.

Suyuqlik almashinuvi haqida bir necha so'z

Maqolada tasvirlanganlar kabi ICMP bildirishnomalari qimmatroq bo'lishi mumkin bo'lsa-da, ularning barchasini yaratish marshrutizatorlarda protsessor soatini olishini va trafikni hosil qilishini unutmang. Favqulodda vaziyatda xavfsizlik devori orqali soniyasiga 1000 pingni behuda sarflayotganingizni haqiqatan ham tushunasizmi? Nega oddiy trafik bilan shug'ullanmaysiz?

Balki yo'q.

Satrga turish

o'tkazish qobiliyati
ICMP trafikining ushbu turlari uchun siz talab qiladigan cheklovlar; Bu oz chegaralaringizni himoya qilishga yordam beradi. O'qing, kuzatib boring va tushuning Vrahovayuchi, ushbu "blokirovka qilish yoki bloklamaslik" ICMP paketlarini muhokama qilgandan so'ng, birinchi navbatda chalkashlik, super tekshirish va farqlarni keltirib chiqaring, men sizni ushbu mavzuni mustaqil ravishda muhokama qilishni davom ettirishingizni tavsiya qilaman. Ushbu sahifada juda ko'p xabarlar bor, men sizni hurmat qilaman, muammolarni yaxshiroq tushunish uchun ularni o'qish uchun bir soat sarflashingiz kerak. Ehtiyojlaringizga eng mos keladiganini tanlaganingizga ishonch hosil qiling.

MikroTik: uni qayerga bosishim kerak? Barcha afzalliklariga qaramay, MikroTik kompaniyasining mahsulotlari bitta minusga ega - uning rivojlanishi haqida juda ko'p ma'lumotlar mavjud va har doim ham ishonchli emas. yotib yoting, shunda yovuz odam tizimga kirishga urinayotganda boshini tiqishi mumkin.

Bugungi yong'inlar tajovuzkorlarning 99 foizini harakatga keltirmaydigan foydasiz xavfsizlik mexanizmlarini targ'ib qilmoqda.

Va barchasi qimmat xususiy yoki tijorat dasturiy ta'minotini sotib olishning hojati yo'q.

Barcha tajovuzkorlarning maqsadi o'z imkoniyatlaridan o'z manfaatlari yo'lida foydalanish uchun serverning buyruq tarjimoniga kirishni rad etishdir. Ko'pincha "muqaddaslar muqaddasiga" kirish xizmatlardagi kataloglar yordamida yoki ulardan biriga (masalan, ssh) parol tanlash (qo'pol kuch) orqali sodir bo'ladi. Skanerlash portlari

Mashinada muammoli xizmatlar mavjudligini aniqlash uchun tajovuzkor port skaneri va turli xil to'kilishlarni aniqlash tizimlari yordamida ilg'or razvedkani amalga oshiradi.

• Port skaneri vikorist nmap sifatida qo'ng'iroq qiling, bu o'nlab skanerlash uchun bino
• turli yo'llar bilan
• Va ba'zi hollarda OS versiyalari va xizmatlarini aniqlash mumkin.
• Bu xakerlar vikory deb ataydigan mashhur nmap vositalarining ro'yxati:
• Skanerlashda foydalaniladigan Prapori nmap
• -sT - birinchi navbatda ko'rsatilgan portga qo'shimcha ulanish va yakunlash uchun TCP skanerlashi;

-sS - SYN/ACK skanerlash, ulanish qabul qilingandan so'ng darhol ochiladi;

-sU - UDP skanerlash;

-sF - o'rnatilgan FIN belgisidan paketlarni skanerlash;
-sX - o'rnatilgan FIN, PSH va URG bayroqlaridan paketlarni skanerlash;
-sN – bayroqlarni kiritmasdan paketlarni skanerlash.
Skanerlash usuli oddiy va har qanday tizim ma'muri uchun ochiqdir.
Yechim, tashqaridan ko'rinib turganidek, barcha xizmatlarni yopishdir.
Masalan, agar mashina ssh, samba va apache xizmatlarini ishga tushirsa va tashqi dunyodan siz faqat korporativ veb-sahifaga ega veb-serverni ko'rishingiz mumkin bo'lsa, u holda chegara ekrani quyidagicha sozlanishi mumkin:
Pochatkov iptables o'rnatish
outif="eth1"
iptables -F
iptables -i $outif -A INPUT \

-m conntrack\

--ctstate TUZILGAN, BOG'LIQ \
-j QABUL
iptables -i $outif -A INPUT -p tcp \
--dport 80 -j QABUL QILING
iptables -i $outif -P INPUT DROP
iptables -i $outif -P OUTPUT QABUL
Pochatkov ipfw o'rnatish
outif="rl0"
ipfw qo'shish ipni istalgandan istalganiga ruxsat berish \
lo0 orqali
ipfw qo'shish mendan IP-ga ruxsat bering

$outif orqali

--ctstate TUZILGAN, BOG'LIQ \
ipfw qo'shish menga har qanday tcp ruxsat berish \
$outif orqali tashkil etilgan
ipfw add har qanday 80 dan tcp ruxsat berish \
menga $outif orqali
$outif proto-ni istalgan \ dan o'tkazing
$outif 80 portiga

Barcha uchta qoidalar to'plami bir xil ishlaydi - ular orqaga qaytish interfeysi orqali har qanday trafikni o'tkazishga imkon beradi, allaqachon o'rnatilgan paketlarni qabul qilishga imkon beradi (masalan, brauzer masofadan boshqarish pultiga so'rovni rad etishi uchun). server), har qanday ulanishlarni bloklash va ruxsat berish, 80-gacha portni qo'shing.

Hurmatni jonlantirish uchun, Iptables, IPTABLES TA IPFW MI o'rnidan turish uchun bir xil tarzda paketning ruxsatnomasi uchun qoidalarni aniq belgilab qo'ydi, Markaziy sog'liqni saqlash assambleyasi uchun vipad z PF, "KEEP STETE" "KEEP STET" ga ega. roldan I vihidni aloqasi.

Zagalom, chekka xizmatlarni skanerlash va penetratsiyadan himoya qilishning bunday sxemasi mo''jizaviy tarzda ishlaydi, ammo biz olovni skanerlashni ko'rgan odamlar Vikoniyalik bo'lmasligi uchun olovni sozlashimiz mumkin.

Texnik jihatdan biz ushbu turdagi skanerlash (nmap "-sT", "-sS" va "-sU") bilan ishlay olmaymiz, chunki unda jinoiy narsa yo'q, "-sN" kabi nostandart skanerlash turlari uchun. , " -sF" va "-sX" huquqiy qo'shimchalar tomonidan yaratib bo'lmaydigan paketlarni yaratadi.

Shuning uchun, hech qanday shubhasiz, biz bunday fikrlarni tashlaymiz.
Ekzotik turlarga qarshi kurash usullari
# FIN-skanerlovchi panjara
Linux> iptables -A INPUT -p tcp\
-m tcp\
--tcp-bayroqlari FIN,ACK FIN -j DROP
FreeBSD>
o'rnatilmagan tcpflags fin
# X-skanerlash panjarasi
Linux>
--tcp-bayroqlari FIN, SYN, RST, PSH, ACK, URG
FIN,SYN,RST,PSH,ACK,URG\
-j DROP
FreeBSD> ipfw tcp ni istalgandan istalganiga qo'shish \
tcpflags fin, syn, rst, psh, ack, urg'u
# Fence N-skanerlash
FIN,SYN,RST,PSH,ACK,URG\
Linux> iptables -A INPUT -p tcp -m tcp\
--tcp-bayroqlari FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
tcpflags !fin, !syn, !rst, !psh, !ack, !urg
OpenBSD-da bu satrlarning barchasini kobga oddiy yozish bilan almashtirish mumkin

/etc/pf.conf:

hammasini tozalang operatsion tizim Shuning uchun, bunday skanerlashga boshlang'ich paketlar oqimi hech qanday ta'sir ko'rsatmasligi mumkin (biz uning funktsiyalarini quyida ko'rib chiqamiz), ammo SYN/ACK skanerlashda nmap paketlarni o'z-o'zidan shakllantiradi, shuning uchun ular bir xil. Jerelo.

OTni passiv aniqlash usuli standart xavfsizlik devori qoidalaridan foydalangan holda paketlarni aniqlash va ularni tashlab yuborish imkonini beradi:
OpenBSD> istalgan NMAP operatsion tizimidan tezda bloklanadi
Linux> iptables -I INPUT -p tcp -m osf --janr NMAP \

-j DROP

Iptables/netfilter xavfsizlik devorining osf moduli OpenBSD sotuvchilari (/etc/pf.os) tomonidan to'plangan va yangilangan bitlarning vikory ma'lumotlar bazasini o'z ichiga oladi, bu qoidalarni bir xil natijalarga etkazish uchun javobgardir.

Bundan tashqari, nmap yordam dasturining OS-ga xos funktsiyalariga samarali qarshi turishga imkon beradiganlar ham mavjud ("-O" belgisi). Endi biz standart va to'mtoq "-st" dan tashqari, barcha turdagi skanerlashdan himoyalanganmiz.

Undan qanday chiqish mumkin?

Aslida, hamma narsa oddiy.
Portni skanerlash faktini xavfsizlik devori jurnallarini tahlil qilish orqali osongina aniqlash mumkin.
Agar qisqa vaqt ichida turli portlarda hech qanday ulanish bo'lmasa, bu biz skanerdan o'tganimizni anglatadi.
Ushbu fikrni xavfsizlik devori qoidalariga o'tkazish mumkin emas edi.
Iptables uchun ishlamaydigan portga urilgan har bir kishini bloklaydigan oddiy retsept mavjud:
Skanerlar uchun kurash
Iltimos, iptablesga yordam bering
# Ishlamaydigan portning taqillatilishini tekshiring (yiliga 10 ta)
--soniya 3600 --hitcount 10 --rttl -j QAYTISH

# Ishlamaydigan portni taqillatish uchun yana bir tekshirish (har bir tanga uchun 2 ta)

iptables -A INPUT -m so'nggi --rcheck \

--soniya 60 --hitcount 2 --rttl -j QAYTISH

# Ro'yxatni taqillatganlarning manzillarini kiriting

iptables -A INPUT -m so'nggi --set

# Biz limitdan oshib ketgan har bir kishiga paketlarni chiqaramiz

• 0 - aks-sado javobi (aks-sado-javob, ping)
• 3 - manzilga etib bo'lmaydi
• 4 - manbani o'chirish
• 5 - qayta yo'naltirish
• 8 - aks-sado so'rovi (echo-so'rov, ping)
• 9 - yo'riqnoma reklamasi
• 10 - yo'riqnoma so'rovi
• 11 - ishlash muddati o'tdi (paketning ishlash muddati tugaydi)
• 12 - IP sarlavhasi noto'g'ri (noto'g'ri IP paket sarlavhasi)
• 13 - vaqt tamg'asi so'rovi (shifokorning soat qiymatini so'rang)
• 14 - vaqt tamg'asi javobi (soatga javob)
• 15 - ma'lumot so'rovi
• 16 - ma'lumotga javob
• 17 - manzil maskasi so'rovi (chegara niqobini taqdim etadi)
• 18 - manzil niqobiga javob

Natijada, ICMP xabarlariga javoblar xost haqidagi ma'lum ma'lumotlarning oshkor etilishiga, shuningdek, marshrutlash jadvalini o'zgartirishga olib kelishi mumkin, shuning uchun ular himoyalangan bo'lishi kerak.

Chiqishingizga qo'ng'iroq qiling tashqi dunyo 0, 3, 4, 11 va 12 ICMP xabarlariga ruxsat bering, shu bilan birga faqat 3, 8 va 12 kirish sifatida qabul qilinadi, bu turli xil xavfsizlik devorlarida amalga oshiriladi:

Xavfli ICMP xabarlarini to'sish

Linux> iptables -A INPUT -p icmp\
-icmp-turi 3,8,12 -j QABUL QILING
Linux> iptables -A OUTPUT -p icmp\
-icmp-turi 0,3,4,11,12 -j QABUL
FreeBSD> ipfw qo'shish ruxsat icmp \
har qandaydan $outifgacha \ da
$outif icmptype 3,8,12 orqali
FreeBSD> ipfw qo'shish ruxsat icmp \
$outif dan har qanday tashqariga \
$outif icmptype 0,3,4,11,12 orqali
OpenBSD> inet proto icmp ga o'tish \
har qanday dan $outif \
icmp turi (3, 8, 12) holatini saqlaydi
OpenBSD> inet proto icmp \ o'tkazib yuboring
$outifdan istalgan \gacha
icmp turi (0, 3, 4, 11, 12)\
holatni saqlash

Shu sababli, siz barcha ICMP trafigini, shu jumladan ping so'rovlarini bloklashingiz mumkin, ammo bu ishning to'g'riligiga ham ta'sir qilishi mumkin.

Qo'pol kuch

haqida ma'lumot olgan ma'lum portlarda Va OT, tajovuzkor tizimga kirishga harakat qiladi, bu xizmatlarda eshiklardan foydalanish yoki parollarni chiqarishga asoslangan bo'lishi mumkin.

Xavfsizlik devori bizga yovuz xizmatning kuchini engishimizga yordam bermaydi, lekin parolni qidirish jarayoni bilan shug'ullanish oson.

Nima uchun bir xil IP manzillardan mashinaga kelgan paketlar sonini almashish mumkin?
O'qni iptables yordamida olish mumkin:
Iptables bilan yordam olish uchun qo'pol kuchdan himoya qiling
Ulanishni tekshirish uchun # Lancer

iptables -N brute_check
# 60 yoshdan oshgan bo'lsangiz, manzilni bloklang
soniya 2 dan ortiq ulanishni boshlaydi
--yangilash --soniya 60\
iptables -A brute_check -m yaqinda\
--set -j QABUL QILING
# INPUT qisqichini tozalash
iptables -F INPUT
# Lancer brute_check-ga yuborildi
oldin ulanishni istagan har bir kishi
22-port

--ctstate NEW -p tcp \
--dport 22 -j brute_check
iptables -P INPUT DROP

Pf wiki-dan ham xuddi shunday daromad olishingiz mumkin:

Yordam uchun shafqatsiz kuchdan himoya pf

# Shafqatsiz kuchlar uchun jadval yarating
stol davom eting
# Biz uni yo'q qilgan barchani bloklaymiz
dan tezda blokirovka qiling
# Biz bruteforcers jadvaliga har bir satrda 22-portda ikkitadan ortiq ulanishga ega bo'lgan har bir kishini joylashtiramiz.
$ext_if inet proto tcp ni $outif \ ga o'tkazing
port 22 bayroqlari S/SA holatini saqlaydi \
(max-src-conn-rate 60/2, \ortiqcha yuk yuvish)

Ipfw xavfsizlik devori maxsus PAM modullari, hujumni aniqlash tizimlari va grami na zrazok sshguard kabi yuqori darajadagi vositalardan foydalanish uchun mas'ul bo'lgan qo'pol kuchlarga samarali qarshi turish uchun etarli funktsiyaga ega emas.

Spoofing

Spoofing (paket jo'natuvchi manzilini aldash) DoS hujumlarini boshlash yoki xavfsizlik devorini chetlab o'tish uchun ishlatilishi mumkin.

Birinchi holda, firibgarlik tajovuzkorga katta afzallik beradi, chunki u hujumga javobni murakkablashtiradi (butunlay boshqa jo'natuvchi manzillaridan kelgan paketlarni tasniflash va bloklash unchalik oson emas) va yangi ulanishlarni yopish jarayonini kechiktiradi. (Iltimos, qo'ng'iroq qiling, manzil bo'laklangan va unga kirish imkoni yo'q, shuning uchun u yopiladi Ulanish faqat kutish muddati tugagandan so'ng faollashadi).

Xavfsizlik tizimini chetlab o'tish uchun ishlatiladigan soxtalashtirish kamroq xavfsiz va tez-tez nazorat qilinadi.

O'ng tomonda ichki va tashqi chegaralarni (yoki ikkita mahalliy chegarani) ajratuvchi chegara ko'prigi mavjud bo'lsa, vaziyat yanada murakkablashadi. Astarlar o'rtada ekanligiga ishonch hosil qiling mahalliy choralar

- o'ngda zvichaina.

Xizmatlar hamma uchun mavjud, autentifikatsiya, shifrlash va boshqalar yo'q.
- jinoyatchi uchun shunchaki bema'ni narsa.
Tashqi chegarada bo'lganingizda, siz ichki chegaraning chegara niqobini tanib olishingiz va ijobiy qaytish manziliga ega paketlarni shakllantirishingiz mumkin, bu esa barcha mahalliy resurslarga kirishni rad etishga olib keladi.
Bu xavfsiz holat emas, lekin xavfsizlik devori yoki operatsion tizimning to'g'ri konfiguratsiyasini e'tiborsiz qoldirish oson.
Qaytish manzillari tashqi interfeysdan ichki interfeysdan olinganlarga mos keladigan paketlarning o'tishini himoya qilish uchun etarli bo'lishini ta'minlash uchun:
Linux> iptables -A INPUT -i $outif \

-s 192.168.1.0/24 -j INDOR

FreeBSD> ipfw qo'shish inkor IP dan \
$outif orqali istalganiga 192.168.1.0/24
OpenBSD> $outif dan \ blokiga kirish

192.168.1.0/24 istalganiga

Qo'shimcha himoyaga alternativa sifatida siz maxsus ipfw va pf direktivalaridan foydalanishingiz va Linux yadrosini sozlashingiz mumkin (va kerak bo'ladi):

Linux > echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter FreeBSD> ipfw har qanday antispoof-dan inkor ipni qo'shing$ext_if uchun OpenBSD> antispoof

Ushbu uchta buyruq bir xil natijalarga olib keladi.
Boshqa interfeysning tarmoq interfeysini ifodalovchi manzillarga kiritilgan barcha paketlar o'chiriladi.
IPTABLES tarkibi
Nihoyat, biz serverni kirishdan himoya qilishda foydali bo'lishi mumkin bo'lgan bir qator iptables/netfilter imkoniyatlarini ko'rib chiqamiz.
Keling, mexanizm haqida gapiraylik
uzoq Keruvandan
Masalan, agar mashina ssh, samba va apache xizmatlarini ishga tushirsa va tashqi dunyodan siz faqat korporativ veb-sahifaga ega veb-serverni ko'rishingiz mumkin bo'lsa, u holda chegara ekrani quyidagicha sozlanishi mumkin:
xavfsizlik devori, bu nomni rad etib, "portni taqillatadi" (portni taqillatish).
iptables -F INPUT
Buning mohiyati xavfsizlik devorini o'rnatish va belgilangan portga ulangandan so'ng qo'shiqlarni bekor qilishdir.
Quyida 27520 portni "taqillatgandan" keyin SSH portini 10 soniya davomida ochadigan qoidalar misoli keltirilgan:
iptables va portni taqillatish
# Tasdiqlash uchun lanyard himoyalangan portga ulangan
iptables - N knock

# Qolganlari bilan taqillatsa, ulanishga ruxsat beriladi
10 soniya
iptables -A knock -m so'nggi --rcheck --seconds 10\
# INPUT tozalanmoqda
# Manba portlarini taqillatganda, ro'yxatdagi manzil ko'rsatiladi
iptables -A INPUT -m conntrack --ctstate NEW -p tcp \
-m multiport --dport 27519,27521 -m yaqinda --olib tashlash
#Hamma narsa himoyalangan
iptables -P INPUT DROP

Oxiridagi uchinchi qoida ro'yxatni taqillatgan shaxsning manzilini beradi.

Agar xuddi shu mashina taqillatgandan keyin 22-portga yetib borish uchun 10 soniya kerak bo'lsa, ulanish o'rnatiladi.

Qolgan qoida "ortiqcha o'ldirish" dan himoya qilishdir.

Agar tajovuzkor ulardan biri 22-portni ochadi degan umidda barcha portlarni ketma-ket taqillatishga harakat qilsa, u odatda keyingisidan oldin nishonga olingandan so'ng darhol uning manzili ro'yxatdan o'chirilishini so'raydi.
Boshqa iptables xususiyatlari xtables-addons (patch-o-matic) paketida kengaytirilgan va TARPIT deb ataladi.

Ulanishni "to'xtatib qo'yadigan" bu harakat (shuningdek, QABUL QILISh yoki INDOR qilish) hujum qiluvchi tomonga uni yopishga imkon bermaydi.
Ulanish, TARPIT-dan iste'mol qilinadigan paketlar o'rnatiladi, lekin oynaning o'lchami nolga teng bo'lib qoladi, shuning uchun masofaviy mashina ma'lumotlarni yubora olmaydi, resurslarini isrof qiladi va ulanish faqat yopiladi. taym-aut; turib qolish; tanaffus.
TARPIT favqulodda vaziyatlarda DoS dan himoya qilish uchun ishlatilishi mumkin:

# iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT

Yoki hujumchini aldash va skanerlarga qarshi kurashish

portlar (faqat TCP skanerlash, "-sT"):

# iptables -A INPUT -p tcp -m tcp --dport 80 -j QABUL QILING

• # iptables -A INPUT -p tcp -m tcp --dport 25 -j QABUL QILING
• # iptables -A INPUT -p tcp -m tcp -j TARPIT

Ushbu qoidalar barcha portlar ochiq bo'lgan tizimning ko'rinishini yaratadi, lekin siz ulardan biron biriga ulanishga harakat qilganingizda (80 va 25 dan tashqari) ulanish "kuchaydi".

TARPIT operatsiyasi o'chirilgan bo'lsa, konfiguratsiyaga qoida qo'shganingizga ishonch hosil qiling, aks holda ulangan resurslar conntrack quyi tizimi tomonidan qayta ishlanganida "cho'kadi":

# iptables -t raw -I PREROUTING -p tcp --dport 25 -j NOTRACK

Shunday qilib, keling, ACL bilan davom etaylik.

Bu safar biz ACLni kengaytirdik.

Biz oldingi maqoladan topologiyani olamiz, ishonchim komilki, siz uni yaxshilab o'rgandingiz.

1. Agar bunday bo'lmasa, ushbu maqoladagi materiallar aqlli bo'lishi uchun uni o'qishni maslahat beraman.
2. Avvalo, men ACL ham kengaytirilganligidan boshlayman.
3. ACL kengaytmalari qurilma manziliga qo'shimcha ravishda protokol, maqsad manzil va portni belgilash imkonini beradi.
4. Shuningdek, qo'shiq aytish protokoli uchun maxsus parametrlar.

Dumbalarni yaxshi tushunish yaxshidir, shuning uchun biz ularni old tomonga buklab, yangi dizaynni shakllantiramiz.

Gapirishdan oldin, trafikni ustuvorliklar bo'yicha taqsimlash haqida g'amxo'rlik qilishdan manfaatdor bo'lganlar uchun QoS tasnifi va markalash o'qi ingliz tilida bo'lsa ham yaxshi maqola.

<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>

Xo'sh, shu orada, o'z joyimizga qaytaylik: Zavdannya. 192.168.0.0/24 tarmoq tugunlaridan serverga echo so'rovlariga ruxsat bering. Serverdan - ichki tarmoqdan echo so'rovlarini bloklash. 192.168.0.11 tugunidan serverga WEB kirishiga ruxsat bering. 192.168.0.13 tugunidan serverga FTP kirishiga ruxsat bering. Kompleks boshqaruv. Biz buni har tomonlama ko'rib chiqamiz. Avvalo, men kengaytirilgan ACL sintaksisini ko'rib chiqaman.

Kengaytirilgan ACL parametrlari

Port raqamlari endi TCP/UDP protokollari uchun ko'rsatilmagan.

Men konsollardan ham foydalanishim mumkin<имя>

ek

1. (Port raqami tayinlanganga teng), 192.168.0.0/24 gt/lt (port raqami tayinlanganidan katta/kichikroq), neq (Port raqami belgilangan raqamga teng emas), diapazon (port raqami tayinlanganidan katta/kichikroq),(Port diapazoni). ACL nomi Gapirishdan oldin, kirish ro'yxatlarini nafaqat raqamlash, balki nomlash ham mumkin! Ehtimol, bu usul sizga ko'proq mos keladi. Bu safar men buni o'zim qilaman. Ushbu buyruqlar global konfiguratsiya kontekstida aniqlanadi va sintaksis quyidagicha ko'rinadi: Router(config)#ip kirish roʻyxati kengaytirildi 255.255.255.255 Endi qoidalarni shakllantirishni boshlaylik. 255.255.255.0 Cheklovlardan pingga ruxsat beriladi 0.0.0.255 serverga. Otje, aks-sado 192.168.0.0/24 -so'rov - bu protokol xost 10.0.0.100, bildirishnoma turi - (port raqami tayinlanganidan katta/kichikroq),(So'raydi). xost 10.0.0.100 Gapirishdan oldin buni ta'kidlash muhim emas 10.0.0.100 0.0.0.0 ekvivalent
   Ushbu qoida interfeysga tayinlangan.
2. Router(config)#int fa0/0
   Router(config-if)#ip access-group INT_IN ichida Xo'sh, shunday deb o'ylayman.
   Endi, pinglarni tekshirganingizdan so'ng, hamma narsa yaxshi ishlayotganini ta'kidlash oson.
   Biroq, bu erda bizni bir syurpriz kutmoqda, birozdan keyin.
   Men uni hali ochmayman.
   Kim taxmin qilgan bo'lsa - yaxshi!
   Serverdan - biz ichki tarmoqdan barcha echo so'rovlarini bloklaymiz (192.168.0.0/24). Otje, Yangi nom uzatish aniqlandi, INT_OUT va u serverga eng yaqin interfeysga joylashtiriladi. (port raqami tayinlanganidan katta/kichikroq), Router(config)#ip kirish roʻyxati kengaytirilgan INT_OUT 10.0.0.100 Router(config-ext-nacl)#deny icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo 192.168.0.0/24 Router(config-ext-nacl)#chiqish Router(config)#int fa0/1 Router(config-if)#ip kirish guruhi INT_OUT in Keling, ular bizga nima berganligini tushuntiraman. Biz INT_OUT nomlari uchun kirish ro'yxatiga kengaytma yaratdik va protokolni blokladik.
   s turi
   uy egasidan
   
   yon tomonda
   yon tomonda
   yon tomonda
   va kirish interfeysida tiqilib qolgan
   fa0/1
   , keyin.
   serverga eng yaqin.
   Biz yuborishga harakat qilamiz
   Biz yuborishga harakat qilamiz
   Biz yuborishga harakat qilamiz
   Biz yuborishga harakat qilamiz

   ping Router(config)#int fa0/1 Serverdan.

   SERVER>ping 192.168.0.11

   32 bayt ma'lumot bilan 192.168.0.11 ping:

   10.0.0.1 dan javob: Mo‘ljal xostiga kirish imkoni yo‘q.

   192.168.0.11 uchun ping statistikasi:

3. *.11 tugunidan serverga WEB kirishga ruxsat berilgan. Biroq, bu erda siz 4-darajali (TCP, UDP) protokollarini qanday amalga oshirish haqida ozgina bilishingiz kerak. Mijoz porti > 1024 tanlangan va xizmat uchun server porti tanlangan.

   WEB uchun - port 80 (http protokoli). WEB server drayveri haqida nima deyish mumkin? Router(config)#int fa0/1):

   Rag'batlantirish uchun WEB xizmati allaqachon serverda o'rnatilgan, siz uni tugun sozlamalarida ko'rishingiz mumkin.

   Shomil bo'lishi uchun uni orqaga burang. Har qanday tugunning "Ish stoli" dagi "Veb-brauzer" yorlig'ini tanlash orqali serverga ulanishingiz mumkin. Albatta, men darhol kirish huquqiga ega bo'lmayman. 80 Router interfeyslarida hali ham ACL mavjud va ularda kirish qoidalari yo'q. *.11 Xo'sh, keling, uni yarataylik. Kirish ro'yxati INT_IN (interfeysda joylashgan fa0/0) qo'shilgan qoida: Router(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq 80 Keyin tugunimizdan (port 1024) server manziliga TCP protokoliga ruxsat beramiz. Men, shubhasiz, teskari qoida, INT_OUT ro'yxatigacha (interfeysda joylashgan) Router(config-ext-nacl)#permit tcp host 10.0.0.100 eq 80 host 192.168.0.11 oʻrnatildi

   Bu joiz

4. TCP portdan har bir xost uchun serverlar

   , va ulanish allaqachon o'rnatilgan bo'lishi mumkin!
   O'zgartirish mumkin

   tashkil etilgan

   shunchaki shunday deng
   GT 1024

   Agar shunday qilsangiz yaxshi bo'lasiz. Ale sens trokhi inshiy. Izohlarda xavfsiz bo'lishingizni tasdiqlang? *.13 tugunidan serverga FTP orqali kirishga ruxsat beriladi. Bunda mutlaqo murakkab narsa yo'q! Keling, FTP protokoli bilan qanday bog'lanishni aniqlaylik.(serverni sozlashdan olingan), u erda buyruqni kiriting rej Ma'lumotlar va buyruqlar muvaffaqiyatli uzatilishi muhim.

Eksa taxminan va kengaytirilgan kirish ro'yxati bilan bog'liq bo'lgan hamma narsadir.

Xo'sh, biz qoidalarimizdan hayratdamiz:

Router#sh kirish
INT_IN kengaytmalari IP kirish roʻyxati
ruxsat icmp 192.168.0.0 0.0.0.255 xost 10.0.0.100 echo (17 ta oʻyin)
ruxsat icmp xost 10.0.0.100 192.168.0.0 0.0.0.255 echo-javob
ruxsat tcp xost 192.168.0.11 gt 1024 xost 10.0.0.100 ekv www (36 ta mos(lar))
ruxsat tcp xost 192.168.0.13 gt 1024 xost 10.0.0.100 ekv ftp (40 ta mos(lar))
ruxsat tcp xost 192.168.0.13 gt 1024 xost 10.0.0.100 gt 1024 (4 oʻyin(lar))
INT_OUT kengaytmalari IP kirish roʻyxati
icmp xostini rad etish 10.0.0.100 192.168.0.0 0.0.0.255 echo (4 ta moslik)
icmp xostiga ruxsat berish
ruxsat tcp xost 10.0.0.100 eq www xost 192.168.0.11 oʻrnatilgan (3 ta oʻyin(lar))
ruxsat tcp xost 10.0.0.100 ekv ftp xost 192.168.0.13 gt 1024 (16 ta oʻyin(lar))
ruxsat tcp xost 10.0.0.100 gt 1024 xost 192.168.0.13 gt 1024 (3 ta oʻyin(lar))

Kompyuteringizni qanday qilib sozlashingiz mumkin Keruvannyam Windows 2000/XP/2003 Ping paketlarini blokirovka qilyaptimi?

Windows 2000/XP/2003 IPSec (IP xavfsizligi) deb nomlangan IP xavfsizlik mexanizmini joriy qilishi mumkin.

IPSec - bu alohida TCP/IP paketlarini tarmoq orqali uzatilganda himoya qilish uchun mo'ljallangan protokol.

Biroq, biz IPsec qurilmasining ishlashi haqida batafsil ma'lumot bermaymiz, chunki shifrlashdan tashqari, IPSec sizning serveringizni yoki ish stantsiyangizni xavfsizlik devoriga o'xshash mexanizm bilan ham himoya qilishi mumkin.

PING bitta kompyuterda bloklangan

Kompyuteringizdan barcha PING paketlarini bloklash uchun barcha ICMP trafigini bloklaydigan IPSec siyosatini yaratishingiz kerak.Boshlash uchun kompyuteringiz ICMP so'rovida nima deyishini tekshiring:

1. Bitta kompyuterni sozlash uchun biz quyidagi kalitlarni kiritishimiz kerak:
2. Sozlanishi mumkin

1. IP filtri ro'yxatlari va filtrlash harakatlari

1. MMC oynasini oching (Ishga tushirish > Ishga tushirish > MMC).

1. IP xavfsizligi va siyosatini boshqarish qo'shimchasini qo'shing.

Biroq, oddiy IP-filtrni o'rnatishingiz mumkin, masalan, bir nechta qo'shiqlardan tashqari, kompyuteringizni barcha IP-lardan himoya qiling.

1. IPSec-ga bag'ishlangan kelgusi maqolalarimizdan birida biz IP filtrlarini yaratishni batafsil ko'rib chiqamiz, yangilanishlarni kuzatib boring.

1. IP filtri roʻyxatlari va filtr amallarini boshqarish oynasida filtrlaringizni koʻrib chiqing va Filtr amallarini boshqarish yorligʻini bosing.
2. Endi biz barcha trafikni bloklaydigan filtr uchun amalni qo'shishimiz kerak, Qo'shish tugmasini bosing.

1. Birinchi oynada Keyingiga bosing.

1. Filtr harakati nomi maydoniga Bloklashni kiriting va Keyingiga bosing.

Filtr harakati umumiy parametrlarida Bloklash-ni, keyin esa Keyingi-ni tanlang.

IP filtri roʻyxatlari va filtr amallarini boshqarish oynasiga oʻting va filtrlaringizni va boshqa hamma narsani koʻrib chiqing, “Yopish” tugmasini bosing.

1. Siz istalgan vaqtda filtrlar va filtrlar uchun opsiyalarni qo'shishingiz mumkin.

1. Yaqin kelajakda IPSec siyosati sozlanadi va tuzatiladi.
2. IPSE siyosatini sozlash

1. Xuddi shu MMC konsolida IP xavfsizlik siyosati-ni o'ng tugmasini bosing va IP xavfsizlik siyosatini yaratish-ni tanlang.

1. “Keyingi” tugmasini bosish orqali hokimning salomini o‘tkazib yuboring.

1. IP xavfsizlik siyosati nomi maydoniga shaxsiy ismingizni kiriting, masalan, "PINGni bloklash". Keyingiga bosing Xavfsiz ulanish so'rovlari oynasida Standart javob qoidasini faollashtirish katagiga belgi qo'ying.

1. Keyingiga bosing
2. Quvvatni o'zgartirish katagiga belgi qo'ying va Finish tugmasini bosing.

Yangi IPSec siyosatiga IP filtrlari va barcha filtrlarni qo'shishimiz kerak. Deraza oldida yangi siyosat

IPSec-ni bosing Qo'shish Keyingi tugmasini bosing. Tunnel Endpoint oynasida Aktsiyalar opsiyasiga o'ting va Keyingiga bosing.

Operatsion tizimda ping-xabarlarni bloklash ICMP paketli suv toshqini hujumlarini oldini oladi yoki aksariyat tizimlarni o'g'irlanishini oldini oladi.

ICMP paketlarini boshqarish qoidalarini yaratish uchun zarur bo'lgan iptables-dagi ba'zi parametrlarning tushuntirishlari:

Javob: Qoidalarni qo'shadi.
-D: Jadvaldagi qoidani ko'radi.
-p: Protokolni belgilash varianti (de icmp).
-icmp-type: Turni kiritish varianti.
-J: Nayzaga bor.

Quyida men dumbalarni ko'rsataman.

Ogohlantirish haqidagi bildirishnoma bilan serverda PING-ni qanday bloklash mumkin?
Shunday qilib, siz tez-tez PINGni to'sib qo'yishingiz mumkin.

PING-ni bekor qilish haqidagi bildirishnomalardan bloklash uchun yangi Iptables qoidalarini qo'shing:

# iptables -A INPUT -p icmp --icmp tipidagi echo-so'rov -j REDD ET Bloklash Serverda PING
o'zgartirishlar to'g'risida hech qanday xabarnomasiz.

Buning uchun bizga IPtabels buyrug'i kerak:

# iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP # iptables -A INPUT -p icmp --icmp-turi echo-reply -j DROP

Serverdagi barcha kiruvchi va chiquvchi ICMP paketlarini bloklaydi.

Ping vikorivoyuchi iptablelariga ruxsat bering

Agar siz serverda pingni bloklagan bo'lsangiz va qanday qilib orqaga qaytishni bilmasangiz.

Keyin uni qanday topishni darhol aytaman.

Ammo IPtables-ga quyidagi qoidani qo'shishdan tortinmang:

# iptables -A INPUT -p icmp --icmp-type echo-request -j QABUL OLING # iptables -A OUTPUT -p icmp --icmp-turi echo-reply -j QABUL OLING

Ushbu qoidalar ICMP paketlarini serverdan boshqasiga o'tkazishga imkon beradi.
Yadro parametrlari yordamida Pingni bloklash

Shuningdek, yadro parametrlari yordamida simsiz tarmoqlardan pinglarni bloklashimiz mumkin.

Ping ulanishlarini vaqtincha yoki doimiy ravishda bloklashingiz mumkin va quyida buni qanday qilishni ko'rishingiz mumkin.

Vaqt bloki Ping

Siz hozircha ping-pinglarni bloklashingiz, vikorist va jamoaga hujum qilishingiz mumkin
# echo "1" > Bu jamoani blokdan chiqarish uchun quyidagilarga qoʻshiling:# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all Zaboroniti Ping zagali:

Pingni qo'shimchalardan bloklashingiz mumkin

tajovuzkor parametr

V

konfiguratsiya fayli

# vim /etc/sysctl.conf

Men yozaman:

[...] net.ipv4.icmp_echo_ignore_all = 1 [...]

sysctl ro'yxatga olish vaqtida yadro parametrlarini o'zgartirish uchun ishlatiladi, bu parametrlardan biri "ping daemon" bo'lishi mumkin, agar siz pingni yoqmoqchi bo'lsangiz, shunchaki belgini bosishingiz kerak:

Endi keyingi buyruqqa qo'shiling, shunda siz uni tizimni qayta ishga tushirmasdan tezda tuzatishingiz mumkin:

# sysctl -p

# sysctl --system

Axis mening yangi konfiguratsiyam:

# cd /usr/local/src && wget http://site/wp-content/uploads/files/sysctl_conf.txt

Va keyin siz tizimdan chiqishingiz mumkin:

# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf

Bu "Unix/Linux-da Ping (ICMP) xabarlarini bloklash" mavzusini yakunlaydi.